Beberapa waktu lalu PornHub mengadakan “sayembara” bagi siapa saja yang berhasil menemukan celah di situs mereka akan mendapat reward hingga $25000. Pengumuman itu disampaikan melalui Bug Bounty Program HackerOne. Nah baru baru ini sekelompok hacker menemukan celah Remote Code Execution dan berhasil mendapatkan reward sebesar $20000.
Sebelumnya berita tentang Bug Bounty Program PornHub bisa kalian baca disini :
Nah pada tanggal 28 kemarin di HackerOne sendiri telah dikonfirmasi bahwa PornHub telah menerima laporan tentang bug tersebut dan status report nya telah “closed”. Dalam artian bug tersebut juga telah ditutup tentunya.
Penemu celah di situs PornHub adalah tiga orang security researchers : Dario Weißer (@haxonaut), cutz dan Ruslan Habalov (@evonide) .
Mereka menemukan dua celah fatal RCE menggunakan zero-day vulnerability pada PHP, yangmana bahasa pemrograman tersebut yang digunakan oleh PornHub.
Bug tersebut menyerang PHP versi 5.3 ketas.
Untuk detailnya bisa kalian baca disini :
CVE-2016-5771
CVE-2016-5773
Bug tersebut menyerang PHP versi 5.3 ketas.
Untuk detailnya bisa kalian baca disini :
CVE-2016-5771
CVE-2016-5773
Melalui celah tersebut hacker bisa mengakses informasi pengguna di PornHub, meluhat semua source code di PornHub, bahkan mengambil alih server dengan root previleges.
Atas temuan bug PHP zero-day tersebut, selain PornHub yang memberi reward kepada mereka sebesar $20000 , pihak Internet Bug Bounty HackerOne juga memberi reward $2000.
Untuk detail bagaimana cara kerja exploit tersebut, mereka telah menulis writeup nya yang bisa kalian simak di link berikut :
Fuzzing Unserialize
How we broke PHP, hacked Pornhub and earned $20,000
Oke mungkin sekian artikel kali ini, selamat siang. (jack/lsc)
